Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per Amazon Bedrock
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le politiche AWS gestite che scrivere le politiche da soli. La creazione di policy gestite dai clienti IAMche forniscono al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d'uso comuni e sono disponibili nel tuo Account AWS. Per ulteriori informazioni sulle politiche AWS gestite, consulta le politiche AWS gestite nella Guida IAM per l'utente.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ReadOnlyAccess AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per un elenco e le descrizioni delle politiche relative alle funzioni lavorative, consulta le politiche AWS gestite per le funzioni lavorative nella Guida per l'utente. IAM
Argomenti
AWS politica gestita: AmazonBedrockFullAccess
È possibile collegare la policy AmazonBedrockFullAccess alle identità IAM.
Questa policy concede autorizzazioni amministrative che consentono all'utente di creare, leggere, aggiornare ed eliminare risorse Amazon Bedrock.
Nota
L'ottimizzazione e l'accesso al modello richiedono autorizzazioni aggiuntive. Per ulteriori informazioni, consulta Concedere l'accesso ad abbonamenti di modelli di terze parti e Autorizzazioni per accedere ai file di formazione e convalida e per scrivere file di output in S3.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
ec2(Amazon Elastic Compute Cloud): consente le autorizzazioni per descrivereVPCs, sottoreti e gruppi di sicurezza. -
iam(AWS Identity and Access Management): consente ai responsabili di passare i ruoli, ma consente solo di trasferire al servizio Amazon Bedrock solo i IAM ruoli contenenti «Amazon Bedrock». Le autorizzazioni sono limitate abedrock.amazonaws.com.rproxy.goskope.comper le operazioni Amazon Bedrock. -
kms(AWS Key Management Service): consente ai responsabili di descrivere AWS KMS chiavi e alias. -
bedrock(Amazon Bedrock): consente ai principali di accedere in lettura e scrittura a tutte le azioni nel piano di controllo (control-plane) e nel servizio di runtime di Amazon Bedrock. -
sagemaker(Amazon SageMaker AI): consente ai mandanti di accedere alle risorse Amazon SageMaker AI nell'account del cliente, che funge da base per la funzionalità Amazon Bedrock Marketplace.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BedrockAll", "Effect": "Allow", "Action": [ "bedrock:*" ], "Resource": "*" }, { "Sid": "DescribeKey", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:*:kms:*:::*" }, { "Sid": "APIsWithAllResourceAccess", "Effect": "Allow", "Action": [ "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:DeleteEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com", "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible" } } }, { "Sid": "MarketplaceModelEndpointAddTagsOperations", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "sagemaker-sdk:bedrock", "bedrock:marketplace-registration-status", "sagemaker-studio:hub-content-arn" ] }, "StringLike": { "aws:RequestTag/sagemaker-sdk:bedrock": "compatible", "aws:RequestTag/bedrock:marketplace-registration-status": "registered", "aws:RequestTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*" } } }, { "Sid": "MarketplaceModelEndpointDeleteTagsOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "sagemaker-sdk:bedrock", "bedrock:marketplace-registration-status", "sagemaker-studio:hub-content-arn" ] }, "StringLike": { "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible", "aws:ResourceTag/bedrock:marketplace-registration-status": "registered", "aws:ResourceTag/sagemaker-studio:hub-content-arn": "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*" } } }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "MarketplaceModelEndpointInvokingOperations", "Effect": "Allow", "Action": [ "sagemaker:InvokeEndpoint", "sagemaker:InvokeEndpointWithResponseStream" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com", "aws:ResourceTag/sagemaker-sdk:bedrock": "compatible" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" }, { "Sid": "PassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*SageMaker*ForBedrock*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "bedrock.amazonaws.com" ] } } }, { "Sid": "PassRoleToBedrock", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonBedrock*", "Condition": { "StringEquals": { "iam:PassedToService": [ "bedrock.amazonaws.com" ] } } } ] }
AWS politica gestita: AmazonBedrockReadOnly
È possibile collegare la policy AmazonBedrockReadOnly alle identità IAM.
Questa policy concede autorizzazioni in sola lettura che consentono agli utenti di visualizzare tutte le risorse in Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonBedrockReadOnly", "Effect": "Allow", "Action": [ "bedrock:Get*", "bedrock:List*" ], "Resource": "*" }, { "Sid": "MarketplaceModelEndpointNonMutatingAPIs", "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeInferenceComponent", "sagemaker:ListEndpoints", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "bedrock.amazonaws.com" } } }, { "Sid": "DiscoveringMarketplaceModel", "Effect": "Allow", "Action": [ "sagemaker:DescribeHubContent" ], "Resource": [ "arn:aws:sagemaker:*:aws:hub-content/SageMakerPublicHub/Model/*", "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" ] }, { "Sid": "AllowMarketplaceModelsListing", "Effect": "Allow", "Action": [ "sagemaker:ListHubContents" ], "Resource": "arn:aws:sagemaker:*:aws:hub/SageMakerPublicHub" } ] }
AWS politica gestita: AmazonBedrockStudioPermissionsBoundary
Nota
Questa politica rappresenta un limite delle autorizzazioni. Un limite di autorizzazioni definisce le autorizzazioni massime che una politica basata sull'identità può concedere a un principale. IAM Non devi utilizzare e allegare autonomamente le politiche sui limiti delle autorizzazioni di Amazon Bedrock Studio. Le politiche sui limiti delle autorizzazioni di Amazon Bedrock Studio devono essere allegate solo ai ruoli gestiti di Amazon Bedrock Studio. Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le entità nella Guida per l'IAMutente. IAM
-
La versione attuale di Amazon Bedrock Studio continua a prevedere l'esistenza di una politica simile denominata
AmazonDataZoneBedrockPermissionsBoundarynel tuo AWS account. Per ulteriori informazioni, consulta Fase 2: Creare il limite delle autorizzazioni, il ruolo di servizio e il ruolo di provisioning.
Quando crei progetti, app e componenti di Amazon Bedrock Studio, Amazon Bedrock Studio applica questo limite di autorizzazioni ai IAM ruoli prodotti durante la creazione di tali risorse.
Amazon Bedrock Studio utilizza la policy AmazonBedrockStudioPermissionsBoundary gestita per limitare le autorizzazioni del IAM principale assegnato a cui è collegato. I responsabili possono assumere la forma dei ruoli utente che Amazon DataZone può assumere per conto degli utenti di Amazon Bedrock Studio e quindi condurre azioni come leggere e scrivere oggetti Amazon S3 o richiamare agenti Amazon Bedrock.
La AmazonBedrockStudioPermissionsBoundary policy concede l'accesso in lettura e scrittura per Amazon Bedrock Studio a servizi come Amazon S3, Amazon Bedrock, OpenSearch Amazon Serverless e. AWS Lambda La policy fornisce inoltre autorizzazioni di lettura e scrittura ad alcune risorse dell'infrastruttura necessarie per utilizzare questi servizi, come AWS i segreti di Secrets Manager, i gruppi di CloudWatch log di Amazon e AWS KMS le chiavi.
Questa politica è costituita dai seguenti set di autorizzazioni.
s3— Consente l'accesso in lettura e scrittura agli oggetti nei bucket Amazon S3 gestiti da Amazon Bedrock Studio.bedrock— Garantisce la possibilità di utilizzare agenti, knowledge base e guardrail di Amazon Bedrock gestiti da Amazon Bedrock Studio.aoss— Consente API l'accesso alle raccolte Amazon OpenSearch Serverless gestite da Amazon Bedrock Studio.lambda— Garantisce la possibilità di richiamare AWS Lambda funzioni gestite da Amazon Bedrock Studio.secretsmanager— Consente l'accesso in lettura e scrittura ai AWS segreti di Secrets Manager gestiti da Amazon Bedrock Studio.logs— Fornisce accesso in scrittura ai CloudWatch log di Amazon gestiti da Amazon Bedrock Studio.kms— Concede l'accesso per utilizzare AWS le chiavi per crittografare i dati di Amazon Bedrock Studio.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessS3Buckets", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketVersions", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AccessOpenSearchCollections", "Effect": "Allow", "Action": "aoss:APIAccessAll", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "InvokeBedrockModels", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "Resource": "arn:aws:bedrock:*::foundation-model/*" }, { "Sid": "AccessBedrockResources", "Effect": "Allow", "Action": [ "bedrock:InvokeAgent", "bedrock:Retrieve", "bedrock:StartIngestionJob", "bedrock:GetIngestionJob", "bedrock:ListIngestionJobs", "bedrock:ApplyGuardrail", "bedrock:ListPrompts", "bedrock:GetPrompt", "bedrock:CreatePrompt", "bedrock:DeletePrompt", "bedrock:CreatePromptVersion", "bedrock:InvokeFlow", "bedrock:ListTagsForResource", "bedrock:TagResource", "bedrock:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "RetrieveAndGenerate", "Effect": "Allow", "Action": "bedrock:RetrieveAndGenerate", "Resource": "*" }, { "Sid": "WriteLogs", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "InvokeLambdaFunctions", "Effect": "Allow", "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:*:*:function:br-studio-*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "AccessSecretsManagerSecrets", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:PutSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/AmazonBedrockManaged": "true" }, "Null": { "aws:ResourceTag/AmazonDataZoneProject": "false" } } }, { "Sid": "UseKmsKeyWithBedrock", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "Null": { "kms:EncryptionContext:aws:bedrock:arn": "false" } } }, { "Sid": "UseKmsKeyWithAwsServices", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}", "aws:ResourceTag/EnableBedrock": "true" }, "StringLike": { "kms:ViaService": [ "s3.*.amazonaws.com", "secretsmanager.*.amazonaws.com" ] } } } ] }
Amazon Bedrock si aggiorna alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Bedrock da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed su. Cronologia dei documenti per la Guida per l'utente di Amazon Bedrock
| Modifica | Descrizione | Data |
|---|---|---|
|
AmazonBedrockFullAccess— Politica aggiornata |
Amazon Bedrock ha aggiornato la politica AmazonBedrockFullAccess gestita per concedere ai clienti le autorizzazioni necessarie per creare, leggere, aggiornare ed eliminare le risorse di Amazon Bedrock Marketplace. Ciò include le autorizzazioni per gestire le risorse Amazon SageMaker AI sottostanti, in quanto fungono da base per la funzionalità di Amazon Bedrock Marketplace. |
4 dicembre 2024 |
|
AmazonBedrockReadOnly— Politica aggiornata |
Amazon Bedrock ha aggiornato la politica AmazonBedrockReadOnly gestita per concedere ai clienti le autorizzazioni necessarie per leggere le risorse di Amazon Bedrock Marketplace. Ciò include le autorizzazioni per gestire le risorse Amazon SageMaker AI sottostanti, in quanto fungono da base per la funzionalità di Amazon Bedrock Marketplace. |
4 dicembre 2024 |
|
AmazonBedrockReadOnly— Politica aggiornata |
Amazon Bedrock ha aggiornato la AmazonBedrockReadOnly policy per includere autorizzazioni di sola lettura per l'importazione di modelli personalizzati. |
18 ottobre 2024 |
|
AmazonBedrockReadOnly— Politica aggiornata |
Amazon Bedrock ha aggiunto le autorizzazioni di sola lettura del profilo di inferenza. |
27 agosto 2024 |
|
AmazonBedrockReadOnly— Politica aggiornata |
Amazon Bedrock ha aggiornato la AmazonBedrockReadOnly policy per includere autorizzazioni di sola lettura per Amazon Bedrock Guardrails, la valutazione del modello Amazon Bedrock e l'inferenza di Amazon Bedrock Batch. |
21 agosto 2024 |
|
AmazonBedrockReadOnly— Politica aggiornata |
Amazon Bedrock ha aggiunto le autorizzazioni di sola lettura per l'inferenza in batch (model invocation job). |
21 agosto 2024 |
|
AmazonBedrockStudioPermissionsBoundary: nuova policy |
Amazon Bedrock ha pubblicato la prima versione di questa politica. |
31 luglio 2024 |
|
AmazonBedrockReadOnly— Politica aggiornata |
Amazon Bedrock ha aggiornato la AmazonBedrockReadOnly policy per includere autorizzazioni di sola lettura per Amazon Bedrock Custom Model Import. |
3 settembre 2024 |
|
AmazonBedrockFullAccess: nuova policy |
Amazon Bedrock ha aggiunto una nuova policy per concedere agli utenti le autorizzazioni per creare, leggere, aggiornare ed eliminare risorse. |
12 dicembre 2023 |
|
AmazonBedrockReadOnly: nuova policy |
Amazon Bedrock ha aggiunto una nuova policy per fornire agli utenti autorizzazioni in sola lettura per tutte le operazioni. |
12 dicembre 2023 |
|
Amazon Bedrock ha cominciato a tenere traccia delle modifiche |
Amazon Bedrock ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. |
12 dicembre 2023 |
